A Norma NBR ISO 19011:2012

Coleção Risk Tecnologia
Manual de Auditoria de
Sistemas de Gestão
(ISO 9001, ISO 14001, OHSAS 18001, etc.)
Baseado nas novas normas
NBR ISO 19011:2012 e NBR ISO/IEC 17021:2011
REVISÃO TÉCNICA:
Francesco De Cicco – Diretor-Executivo do QSP – Centro da Qualidade, Segurança e
Produtividade para o Brasil e América Latina.
Todos os direitos reservados. É expressamente proibida a reprodução total ou parcial desta
publicação, sem a prévia autorização do editor.
Copyright  2012 by Risk Tecnologia Editora Ltda.
Fone: (11) 3704-3200.
2003.
2ª Edição - Agosto de 2012.
Risk Tecnologia
Risk Tecnologia
2
Índice
1 Introdução à Auditoria
1.1. Apresentação
1.2. O que é uma auditoria?
1.3. Por que realizar auditorias?
1.4. Quando realizar auditorias?
1.5. Que resultados uma auditoria pode apresentar?
1.6. Classes de auditoria
1.7. Escopo e profundidade
1.8. Tipos de auditoria
1.9. PPP
2 Papéis, Responsabilidades e Habilidades do Auditor
2.1. Papéis e responsabilidades do auditor
2.2. Papéis e responsabilidades do líder da equipe de auditoria
2.3. Habilidades e competências de auditores
2.4. Deveres do coordenador de auditorias
3 Processo de Auditoria Externa
3.1
Planejamento
3.2
Realização
3.3
Relato
3.4
Follow-up
4 Processo de Auditoria Interna
4.1
Planejamento e preparação
4.2
Realização
4.3
Relato
4.4
Follow-up
4.5
Monitoramento e análise crítica
5 Técnicas de Entrevista
5.1
Introdução
5.2
Finalidade das perguntas
5.3
Estilo de fazer perguntas
5.4
Tipos de perguntas
5.5
Conclusão
5.6
Exemplos de perguntas
Risk Tecnologia
3
6 Entrevista da Auditoria
6.1
Introdução
6.2
Preparação do ambiente para uma entrevista eficaz
6.3
Etapas da entrevista da auditoria
6.4
Ouvir ativamente
6.5
Como lidar com as perguntas do auditado
7 Como Administrar Situações Difíceis da Auditoria
8 Elaboração do Relatório da Auditoria
9 Amostra de Entrevista de Auditoria Interna
Apêndices
A
B
C
D
E
Modelos de Formulários
A Norma NBR ISO 19011:2012
A Norma NBR ISO/IEC 17021:2011
Frequência para Análise Crítica de Processo
Glossário Complementar
AMOSTRA: veja a seguir
Risk Tecnologia
4
5 Técnicas de Entrevista
5.1 Introdução
Os auditores podem ter diversas atitudes durante uma entrevista. Essas atitudes irão
influenciar não somente o tipo de perguntas utilizadas para coletar informações, mas também
a maneira como as perguntas serão feitas.
Se o auditor tiver uma abordagem do tipo ‘inspetor’, ele tornará a entrevista uma caça às
bruxas, procurando erros e discrepâncias em relação aos procedimentos. Quando o auditor
assume essa postura em uma entrevista (ou tem a reputação de fazê-lo), ele pode fazer com
que o auditado fique na defensiva, seja hostil ou tente esconder algo.
Por outro lado, se o auditor realizar a entrevista com uma atitude ‘participativa’, ou seja, em
busca de ajuda, opiniões, sugestões e cooperação, aumenta a possibilidade de que o auditado
se mostre aberto, sincero e à vontade.
É importante lembrar que a entrevista de uma auditoria é um exercício de comunicação e que
a comunicação é um processo de duas vias. Fazer o tipo certo de perguntas é uma das chaves
para facilitar a entrevista, de modo a atingir seu objetivo.
5.2 Finalidade das perguntas
O auditor faz perguntas com o intuito de:
•
Coletar as informações necessárias
•
Esclarecer o que compreendeu
•
Verificar se o que ouviu está correto
5.3 Estilo de fazer perguntas
Os auditores que têm uma abordagem participativa utilizam perguntas que envolvem o
auditado, mas também adotam um estilo ou tom que é adequado à finalidade da pergunta.
Um auditor com abordagem participativa faz as perguntas de modo a:
•
Fazer com que o auditado perceba que o auditor está realmente interessado na resposta
•
Ser simpático e não assumir uma postura arrogante ou que menospreze o auditado
•
Ser profissional sem ser frio nem indiferente
•
Dar tempo para que o auditado formule sua resposta, e não fazer as perguntas ininterrupta
e rapidamente, o que poderia soar como um interrogatório ou sabatina
•
Mostrar-se natural e agir de acordo com as respostas do auditado, em vez de esforçar-se
inflexivelmente e seguir uma lista de perguntas definidas previamente, que tenham que
ser feitas independentemente de sua pertinência
•
Ser firme e persistente com um auditado difícil ou evasivo, sem ‘facilitar sua vida’
Risk Tecnologia
5
5.4 Tipos de perguntas
Como mencionado anteriormente, o objetivo da realização de entrevistas é coletar as
informações necessárias. As 3 perguntas mais apropriadas para que isso seja conseguido são:
1. Perguntas abertas
2. Perguntas elucidativas
3. Perguntas fechadas
Os tipos de perguntas a evitar são:
4. Perguntas indutivas
5. Perguntas provocativas
6. Perguntas múltiplas
Perguntas Apropriadas
1. Perguntas Abertas
Perguntas abertas têm a finalidade de estimular o raciocínio e fazer com que o auditado fale.
As perguntas abertas têm que ser formuladas de modo que seu objetivo fique claro e não
ambíguo ou confuso. Perguntas abertas eficazes deixam o auditado à vontade e o estimulam a
falar abertamente sobre suas opiniões e sobre como as atividades são realizadas. Esse tipo de
pergunta permite que o auditado fale mais e diminui o número de perguntas que o auditor
precisa fazer.
As perguntas abertas geralmente começam com: Como, O que, Quando, Onde, Por que,
Diga-me, Mostre-me, Descreva
Exemplos: “Diga-me qual procedimento você segue.”
“Mostre-me como isso funciona.”
“Como esses resultados de ensaios são processados?”
“Onde este formulário foi elaborado?”
“O que você faz quando ...?”
Perguntas a Evitar
1. Perguntas Indutivas
Perguntas indutivas ou perguntas respondidas sugerem ao auditado a resposta ‘certa’ ou
‘politicamente correta’ que ele deve dar. Esse tipo de pergunta deve ser evitado, pois pode
distorcer muito o tipo de informação obtida. O auditado é influenciado a projetar uma
imagem o mais favorável possível de si mesmo, ainda que essa imagem não seja verdadeira.
Exemplos: “Essa amostra é sempre coletada às 3 da tarde, não é?”
“Eu imagino que você saiba que isso infringe a legislação de segurança.”
“É claro, isso seria óbvio para você, esta é a etiqueta errada.”
Risk Tecnologia
6
5.6 Exemplos de perguntas
O que:
“O que acontece no próximo processo?”
“O que acontece se não for aprovado?”
“O que acontece em seguida?”
“O que você faz quando...?”
“O que você faz se os números não batem?”
Por que:
“Por que essas peças não estão na área de quarentena?”
“Por que isso poderia causar problema?”
“Por que você não leva em consideração a ‘data solicitada’?”
Quando:
“Quando você envia os registros de mercadorias para o setor administrativo?”
“Quando você aprova o pedido?”
“Quando você informa ao seu supervisor?”
“Quando esses medicamentos são ministrados?”
“Quando esses materiais são enviados para a produção sem inspeção?”
Como:
“Como a documentação é obtida?”
“Como esse medidor identifica peças maiores do que o previsto?”
“Como o operador é instruído?”
“Como você obtém a aprovação do cliente?”
“Como é definida a frequência para esterilizar esta área?”
Mostre-me: “Mostre-me uma cópia do procedimento.”
“Mostre-me os registros de alta do paciente.”
“Mostre-me os registros de calibração deste instrumento.”
“Mostre-me como você executa essa operação.”
“Mostre-me os registros de pH do efluente.”
“Mostre-me onde você arquiva os pedidos de compras.”
“Mostre-me os registros dos impostos sobre a folha de pagamento do último ano
fiscal.”
Diga-me: “Diga-me como você processa o pedido de um cliente.”
“Diga-me como a amostra é aprovada.”
“Diga-me quem participa das reuniões de análise crítica.”
“Diga-me onde você arquiva os registros de incidentes.”
“Diga-me como são avaliadas as necessidades de treinamento de cada pessoa.”
6 Entrevista da Auditoria
6.1 Introdução
A Entrevista da Auditoria pode ser uma experiência ameaçadora e que causa ansiedade tanto
para o auditado quanto para o auditor. Os auditados normalmente ficam preocupados com a
forma como serão vistos pelo auditor, por seus gerentes e por eles próprios caso sejam
‘reprovados’. O auditor tem que ter muita habilidade para se relacionar com as pessoas, para
que possa estabelecer credibilidade, confiança e segurança. Embora haja a necessidade de ser
Risk Tecnologia
7
formal e objetivo, o auditor também deve ser respeitável e demonstrar empatia com o
auditado.
Deve-se lembrar que é a qualidade da relação estabelecida entre o auditado e o auditor ou a
equipe de auditoria que irá proporcionar uma comunicação aberta e direta. O objetivo é
estabelecer uma relação de colaboração que propicie um fluxo adequado de informações, e
que faça com que os auditados acreditem que o auditor está realmente interessado em
conhecer a forma como executam o processo e que não está lá somente para ‘pegá-los’.
Demonstrar respeito e empatia em relação ao auditado pode ser mais fácil na teoria do que na
prática. É importante que o auditor compreenda seus valores e atitudes pessoais e reconheça
quanto eles interferem no processo da entrevista. Essa interferência pode ocorrer de duas
maneiras:
1.
Com o auditor impondo seus valores e atitudes ao auditado e, dessa forma, perdendo sua
objetividade e imparcialidade. Por exemplo, uma experiência anterior em que o auditor
recebeu produtos ruins daquela área.
2.
Com o auditado projetando para o auditor seus valores, atitudes e insegurança e o auditor
levando isso para o lado pessoal. Por exemplo, o auditado fica irritado e o auditor reage
passivamente, amenizando a situação e evitando abordar o problema.
6.4 Ouvir ativamente
Embora fazer as perguntas certas seja essencial para facilitar a entrevista da auditoria, só isso
não basta. Ouvir as respostas do auditado ativamente permite ao auditor saber quando
interromper uma série de perguntas ou quando partir para a busca de informações diferentes.
O auditor transmite uma mensagem forte de valorização do auditado, não somente por ouvir,
mas também por entender o que é dito. Ouvir tentando entender requer a utilização do corpo
todo. Dar uma resposta verbal e não-verbal, bem como fazer perguntas eficazes, são
componentes do processo de ouvir ativamente.
Um ouvinte ativo aprende a ir além da interpretação das palavras, interpretando os
sentimentos ocultos do auditado, bem como suas idéias e preocupações não expressas ou
expressas parcialmente. Quando o auditor ouve ativamente, ele transmite ao auditado sua
sinceridade ao refletir com ele o que foi dito ou percebido.
6.5 Como lidar com as perguntas do auditado
Se o auditado fizer perguntas, nem sempre é conveniente respondê-las, especialmente se elas
se referirem diretamente ao procedimento que está sendo auditado. Convém que o auditor
devolva a pergunta ao auditado, sem fazer isso com muita frequência, para não dar a
impressão de que o auditor não tem resposta para nada.
Por exemplo:
Risk Tecnologia
[Auditado] “O que o procedimento pede para eu fazer na sequência?”
[Auditado] “O que você acha que eu poderia modificar na execução desse
processo?”
8
7 Como Administrar Situações Difíceis da
Auditoria
Apesar de toda a preparação, planejamento e boa-vontade de sua parte como Líder da Equipe
de Auditoria, ainda assim é possível que você enfrente situações nas quais a auditoria não
transcorra da maneira planejada. O auditor pode ter informado que "Esta auditoria irá
analisar o processo/procedimento, e não você como indivíduo" e, mesmo assim, se deparar
com atitudes hostis, evasivas, não-cooperativas ou com um estado de nervosismo óbvio.
Como lidar com esse tipo de situação e o que fazer ou dizer?
A primeira coisa que deve ser aqui ressaltada é que todo comportamento tem um motivo.
Normalmente, as pessoas reagem com estilos de comunicação passivos ou agressivos,
quando se sentem vulneráveis ou ansiosas. O objetivo de ambos os estilos de comunicação é
defender e proteger o indivíduo de alguma ameaça que tenha sido identificada. E por que as
pessoas se sentem vulneráveis e ansiosas?
9 Amostra de Entrevista de Auditoria Interna
Auditoria de Processo de um Procedimento de Processamento de Pedidos
Auditora:
“Bom dia, Paulo. Eu estou aqui para analisar criticamente o procedimento
de Processamento de Pedidos”
Auditado:
“Bom dia, Márcia. O William me disse que você viria fazer algumas
perguntas. Sente-se, por favor. Em que posso ajudá-la?”
Auditora:
“Você pode me explicar como você recebe os pedidos de compra dos
clientes e o que você faz com eles?”
Auditado:
“Os pedidos são recebidos de três maneiras: por e-mail, por fax ou por
telefone. Quando eu recebo um e-mail ou fax, verifico os dados, tais como
nome do cliente, endereço para entrega, data solicitada, código do produto,
descrição e quantidade solicitada. Depois passo essas informações para o
computador. Se tiver sido recebido por e-mail, salvo-o na pasta do cliente
no diretório ‘Pedidos Digitados’. Se for um fax, escaneio-o para a pasta do
cliente e destruo o original.”
Auditora:
“O que você faz se identificar algum erro no pedido?”
Auditado:
“Ligo para o cliente e faço as alterações no e-mail ou fax antes de digitar
as informações no computador.”
Auditora:
“Posso ver alguns pedidos que você processou no início desta semana?”
Auditado:
“Claro. Este é o diretório de ‘Pedidos Digitados’. Você gostaria de
verificar algum cliente em especial?”
Auditora:
“Não. Vou selecionar este aqui e este outro.” (A auditora verifica alguns emails e fax e anota os números dos pedidos, o nome dos clientes e as datas
em sua Lista de Verificação). “Ótimo. Estão OK. Obrigada, Paulo.” “E o
que você faz se o pedido for recebido por telefone?” (continua...)
Risk Tecnologia
9
Apêndice B
A Norma NBR ISO 19011:2012
NBR ISO 19011:2012 | Projeto Final
Diretrizes para auditoria de sistemas de gestão
APRESENTAÇÃO
1) Este Projeto de Revisão foi elaborado pela Comissão de Estudo de Tecnologia de
Suporte (CE-25:000.03) do Comitê Brasileiro da Qualidade (ABNT/CB-25).
2) Este Projeto de Revisão/Emenda é previsto para cancelar e substituir a edição anterior
(ABNT NBR 19011:2002), quando aprovado, sendo que nesse ínterim a referida norma
continua em vigor;
3) Previsto para ser equivalente à ISO 19011:2011;
4) Não tem valor normativo;
5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória;
6) Este Projeto de Norma será diagramado conforme as regras de editoração da ABNT
quando de sua publicação como Norma Brasileira.
NOTAS:
** Este projeto final da NBR ISO 19011:2012 corresponde a cerca de 95% do texto oficial da
norma, que foi publicada pela ABNT em abril de 2012.
** A norma oficial é comercializada exclusivamente pela ABNT: http://www.abnt.org.br.
Risk Tecnologia
10
Frequência para Análise Crítica de Processo
Apêndice D
A tabela a seguir pode ser utilizada para avaliar o nível de risco de um processo e estabelecer
a frequência das auditorias.
•
Gravidade = Nível de impacto que o processo tem sobre os resultados do negócio
1 = Não grave, 10 = Extremamente grave
•
Estabilidade = O quanto um processo é estável ou não apresenta problemas
1 = Instável, 10 = Muito estável
•
Repetitividade = Com que frequência o processo ocorre
Muito frequente = Muitas vezes ao dia
Frequente = Muitas vezes ao mês
Ocasional = Algumas vezes ao ano
Infrequente = Uma vez ao ano ou menos ou apenas em circunstâncias especiais
•
Risco = Nível de risco que um processo tem sobre o negócio
Mínimo, Baixo, Normal, Alto, Extremo
•
Período para Análise Crítica = Intervalo para análise crítica com base no nível de risco
1, 2, 3, 4, 6, 9, 12, 15, 18 ou 24 meses
Selecione a gravidade e a estabilidade do processo e a frequência de repetição, para
identificar o nível de risco e o período para análise crítica recomendável.
Gravidade
Estabilidade
1a2
1 a 10
3
1a3
Repetitividade
Risco
Período
Muito frequente
Frequente
Ocasional
Infrequente
Muito frequente
Frequente
Ocasional
Infrequente
Mínimo
Mínimo
Mínimo
Mínimo
Baixo
Baixo
Baixo
Baixo
12 meses
15 meses
18 meses
24 meses
6 meses
9 meses
12 meses
18 meses
PARA ADQUIRIR O MANUAL:
(11) 3704-3129 | http://loja.risktecnologia.com.br
Risk Tecnologia
11